• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

개인정보보호 레벨 업! ①의료기관-한국의학연구소 2012.04.23

한국의학연구소, 공용 PC 개인정보 유출방지 위한 DRM 구축사례   


[보안뉴스 김태형] 재단법인 한국의학연구소는 1985년에 설립돼 종합검진 대중화에 앞장서 왔으며 우리나라의 종합건강검진 수준을 선진국 수준으로 향상시키는데 기여해 왔다.


전국에 7개의 검진센터를 운영하고 있는 건강검진 전문기관인 한국의학연구소는 대량의 개인정보를 보유하고 있어 개인정보보호법 시행과 동시에 보안과 병원 업무의 효율성에 대해 고민해왔다.
 

    


이러한 가운데 한국의학연구소는 개인정보보호법을 준수하고 보안이 취약한 PC보안 및 문서 보안을 위해 어느 수준까지의 보안 시스템을 구축해야 하는지, DRM 또는 다른 보안 솔루션을 도입해야 하는 것인지 고민하고 있었다.


의료정보 유출사고의 대부분은 내부자에 의해 발생하고 있고, 고객의 개인정보는 EMR, OCS(병원에서 사용하는 검진 프로그램), PACS(이미지 뷰어 프로그램) 등에 보관되지만 업무상 목적으로 개인 또는 공용 PC로 다운받아 사용하는 것이 현실이었던 것.  


이로 인해 업무용 PC에 저장된 파일은 이메일을 통해 외부로 전달하거나 USB 등의 외부저장장치 또는 출력물 등을 통해 유통되는 과정에서 정보유출 사고로 이어질 수 있기 때문이다.


이에 대해 김승철 한국의학연구소 전산실 대리는 “DRM 솔루션을 구축하기 전까지 PC 보안이나 문서보안 시스템이 제대로 갖춰지지 않았던 게 사실”이라며, “개인정보보호법 시행에 따라 자체 TF팀을 구성해 원내 보안실태를 조사하고 개인 권한 등을 점검하면서 공용 PC 및 내부 문서, 그리고 외부 전달 문서에 대한 보안이 취약하고 판단했다”고 설명했다.

 

이에 연구소는 개인정보 영향평가 수행 안내서를 보고 통합개인정보 유출방지 솔루션인 DRM을 도입하기로 하고, DRM 전문기업인 파수닷컴에 DRM 도입과 관련한 업무 환경 분석을 의뢰하면서 구체적인 설계에 들어갔다.

이와 관련 황지원 파수닷컴 영업대표는 “관리자 측면에서 EMR, OCS 등 자체 개발 프로그램에 대한 보안 대책과 통합 로그인 및 단일 클라이언트 구축, 그리고 VPN 환경에서 각 지역센터 간의 안전한 파일 유통을 고려했다”며, “사용자 측면에서는 검진 업무의 특성상 직원 90% 이상이 개인정보 문서를 처리하고 있었고 B2B 업무에 따른 대외 문서 송수신의 편의성을 제공하는 부분도 고려했다”고 밝혔다.


또한, 그는 “한국의학연구소의 PC 환경은 다른 병원과 비슷하게 공용 PC를 사용하고 있었고 교대 근무 및 이동 근무자의 사용환경, 그리고 사용자에 따른 개인정보에 대한 접근 권한 및 제어도 필요한 것으로 분석했다”고 덧붙였다.

 

이러한 분석을 바탕으로 비용절감 및 관리적 편의성을 향상시키기 위한 전국 7개의 검진센터에 대한 통합 서버 구축, 그리고 서버 네트워크 장애시 업무의 무중단 서비스 구현에 중점을 두고 진행했다는 설명이다.

 

분석이 끝난 후, 한국의학연구소는 지난해 10월부터 DRM 구축 설계에 들어가 11월에 구축을 마무리하고 본원 시스템 연동 및 시스템 통합 테스트를 끝냈다. 이후  담당자 교육을 거쳐 지난해 말 전사적으로 솔루션을 오픈하고 최근까지 추가적인 안정화 작업을 진행했다.


이와 관련 한국의학연구소의 김승철 대리는 “구축 당시 내부 직원들은 교육을 통해 DRM이 구축되면 업무상 불편함이 있다는 사실을 인식시켰지만 실제로 DRM을 사용해 보지 않았기 때문에 불편함이나 어려운 부분을 잘 몰랐다”며, “하지만  보안 시스템에 익숙하지 않은 탓에 구축이 완료되고 실제 업무에 활용해보니 여러 가지 불편에 부딪히게 되었다. 이러한 부분들은 지속적인 최적화 및 안정화를 통해 보완해 나갈 것”이라고 설명했다.


또한, 그는 “DRM으로 인해 그동안 아무 제한이 없던 외부 문서의 반출이나 전달에 불편을 느끼고 있지만 이는 그동안 보안에 익숙하지 않았기 때문”이라며, “직원들 모두 보안의식이 높아졌기 때문에 시간이 지나면 적응해 나갈 수 있을 것”이라고 덧붙였다.


이로써 한국의학연구소는 개인정보보호 정책 및 DRM 로그인, 지방센터 구축, 외부전달 문서 등의 보안이슈를 해결했다. 특히, DRM 로그인은 NAC를 동시에 구축한 결과, NAC에 로그인을 하면 자동으로 DRM 로그인에 되고 로그인 되지 않은 사용자는 문서 사용시 별도로 DRM 로그인을 거쳐 사용하도록 했다. 그리고 로그인 후 1시간 가량 컴퓨터를 사용하지 않으면 자동 로그아웃된다.


이와 함께 이번 솔루션 도입으로 외부 전달 문서에 있어 예상치 못한 업무 분야에서 개인정보가 들어있는 문서가 외부로 전달되는 경우를 발견했다. 이에 외부전달 반출 시스템을 강화해 외부로 나가는 문서의 사유 및 원본 파일을 남겨 복호화된 파일에 대해 보안 감시를 하도록 했다.

    

한편, 파수닷컴은 이러한 개인정보 유출위험에 대비하기 위해 개인정보 검출 및 자동 암호화와 접근권한 관리가 가능한 차세대 개인정보 유출방지 솔루션을 의료기관 환경에 맞춰 출시한 상황이며, 이를 통해 병원 고객의 정보보호에 앞장서고 있다.  

[김태형 기자(boan@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>